Please enable JavaScript.
Coggle requires JavaScript to display documents.
Normas ISO/IEC 27001 e 27002 - Coggle Diagram
Normas ISO/IEC 27001 e 27002
Por meio do uso da família de padrões de um
Sistema de Gestão da Segurança da Informação
‒ SGSI, torna-se possível o desenvolvimento e a implementação de uma estrutura visando à gerência da segurança dos ativos de informações.
A norma cita alguns fatores de influência para o seu estabelecimento e a sua implementação, como:
Necessidades;
Objetivos;
Requisitos de segurança;
Processos organizacionais;
Tamanho e estrutura da organização.
O SGSI preserva a tríade CID (confidencialidade, integridade e disponibilidade) da informação, aplicando um processo de gestão de riscos. Com isso, as partes interessadas (stakeholders) poderão ter uma maior confiança de que os riscos serão convenientemente gerenciados.
A norma ISO/IEC 27001
, em conjunto com a norma
ISO/IEC 27002 (Código de Boas Práticas da Gestão da Segurança da Informação)
, formam as principais referências, atualmente, para quem procura tratar a questão da segurança da informação de maneira eficiente e com eficácia.
ISO 27001
O QUE É?
Uma
metodologia
estruturada , reconhecida internacionalmente, dedicada a segurança da informação
Um processo definitivo para
validar, implementar, manter
e
gerenciar
a seg. inf.
um grupo detalhado de controle compreendidos das melhores práticas da seg. inf.
desenvolvida pelas empresas para as empresas
O QUE NÃO É?
Um padrão técnico
um produto ou tecnologia dirigida
uma metodologia de avaliação do equipamento
mas pode exigir níveis de garantia de avaliação dos equipamentos
REQUISITOS
Essa norma, então, especifica os
requisitos
para
estabelecer
,
implementar
,
manter
e
melhorar
continuamente um sistema de gestão da segurança da informação dentro do contexto da organização.
Também inclui requisitos para a avaliação e o tratamento de riscos de segurança da informação voltados para a necessidade da organização.
A principal característica, ou palavra-chave, é:
DEVE
.
a norma sempre indicará o que o gestor deverá fazer em relação às cláusulas das disciplinas do SGSI
A norma ISO/IEC 27001 é passível de
certificação
acreditada.
Certificado
é o documento emitido por um organismo de certificação.
Site
é um local permanente em que uma organização realiza trabalho ou serviço.
Responsabilidade reduzida devido às políticas e aos procedimentos não implementados ou reforçados.
Oportunidade de identificar e eliminar fraquezas.
A Gerência participa da Segurança da Informação.
Revisão independente do seu SGSI.
Fornece segurança a todas as partes interessadas.
Melhor consciência da segurança.
Une recursos com outros sistemas de gerenciamento.
Mecanismo para medir o sucesso do sistema.
o título da norma ABNT NBR ISO/IEC 27001:2013 é
Sistemas de Gestão da Segurança da Informação
– Requisitos.
ISO 27002
A norma ABNT NBR ISO/IEC 27002:2013 apresenta as melhores práticas a serem utilizadas na gestão da segurança da informação.
Seu título é Código de Prática para a Gestão da Segurança da Informação.
A sua principal característica, ou palavra-chave, como já foi explicado anteriormente, é:
CONVÉM
.
A versão 2013 recomenda 114 tipos de controles básicos.
Cada seção principal contém:
Um
objetivo
do controle declarando o que se espera que seja alcançado.
Um ou mais controles que podem ser aplicados
para se alcançar o objetivo de controle.
As descrições do controle estão estruturadas da seguinte forma:
CONTROLE
o controle é uma medida que pode modificar o risco,
seja ele através de um processo, política, dispositivo, prática ou outras ações que modifiquem a ameaça e/ou a vulnerabilidade e, consequentemente, o risco.
DIRETRIZES PARA IMPLEMENTAÇÃO
Apresenta informações mais detalhadas para apoiar a implementação do controle e alcançar o objetivo do controle.
INFORMAÇÕES ADICIONAIS
Apresenta mais dados que podem ser considerados, como questões legais e referências normativas.